Identifikasi bucket Amazon S3 publik AWS Organizations dengan menggunakan Security Hub - AWS Prescriptive Guidance
RingkasanPrasyarat dan batasanArsitekturAlatEpikPemecahan MasalahSumber daya terkaitInformasi tambahan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Identifikasi bucket Amazon S3 publik AWS Organizations dengan menggunakan Security Hub

Mourad Cherfaoui, Arun Chandapillai, dan Parag Nagwekar, Amazon Web Services

Ringkasan

Pola ini menunjukkan cara membuat mekanisme untuk mengidentifikasi bucket Amazon Simple Storage Service (Amazon S3) publik di akun Anda. AWS Organizations Mekanisme ini bekerja dengan menggunakan kontrol dari standar AWS Foundational Security Best Practices (FSBP) AWS Security Hub untuk memantau bucket Amazon S3. Anda dapat menggunakan Amazon EventBridge untuk memproses temuan Security Hub, lalu memposting temuan ini ke topik Amazon Simple Notification Service (Amazon SNS). Pemangku kepentingan di organisasi Anda dapat berlangganan topik dan mendapatkan pemberitahuan email langsung tentang temuan tersebut.

Bucket Amazon S3 baru dan objeknya tidak mengizinkan akses publik secara default. Anda dapat menggunakan pola ini dalam skenario di mana Anda harus mengubah konfigurasi Amazon S3 default berdasarkan persyaratan organisasi Anda. Misalnya, ini bisa menjadi skenario di mana Anda memiliki bucket Amazon S3 yang menghosting situs web atau file yang menghadap publik yang harus dapat dibaca oleh semua orang di internet dari bucket Amazon S3 Anda.

Security Hub sering digunakan sebagai layanan pusat untuk mengkonsolidasikan semua temuan keamanan, termasuk yang terkait dengan standar keamanan dan persyaratan kepatuhan. Ada Layanan AWS hal lain yang dapat Anda gunakan untuk mendeteksi bucket Amazon S3 publik, tetapi pola ini menggunakan penerapan Security Hub yang ada dengan konfigurasi minimal.

Prasyarat dan batasan

Prasyarat

  • Penyiapan AWS multi-akun dengan akun administrator Security Hub khusus

  • Security Hub dan AWS Config, diaktifkan di tempat Wilayah AWS yang ingin Anda pantau

    catatan

    Anda harus mengaktifkan agregasi Lintas wilayah di Security Hub jika Anda ingin memantau beberapa Wilayah dari satu Wilayah agregasi.

  • Izin pengguna untuk mengakses dan memperbarui akun administrator Security Hub, membaca akses ke semua bucket Amazon S3 di organisasi, dan izin untuk mematikan akses publik (jika diperlukan)

Arsitektur

Diagram berikut menunjukkan arsitektur untuk menggunakan Security Hub untuk mengidentifikasi bucket Amazon S3 publik.

Diagram yang menunjukkan alur kerja replikasi lintas akun

Diagram menunjukkan alur kerja berikut:

  1. Security Hub memantau konfigurasi bucket Amazon S3 di semua AWS Organizations akun (termasuk akun administrator) dengan menggunakan kontrol S3.2 dan S3.3 dari standar keamanan FSBP, dan mendeteksi temuan jika bucket dikonfigurasi sebagai publik.

  2. Akun administrator Security Hub mengakses temuan (termasuk untuk S3.2 dan S3.3) dari semua akun anggota.

  3. Security Hub secara otomatis mengirimkan semua temuan baru dan semua pembaruan temuan yang ada ke EventBridge sebagai Temuan Security Hub - Acara yang diimpor. Ini termasuk peristiwa untuk temuan dari akun administrator dan anggota.

  4. EventBridge Aturan menyaring temuan dari S3.2 dan S3.3 yang memilikiFAILED, ComplianceStatus status alur kerjaNEW, dan a dari. RecordState ACTIVE

  5. Aturan menggunakan pola peristiwa untuk mengidentifikasi peristiwa dan mengirimkannya ke topik Amazon SNS setelah dicocokkan.

  6. Topik Amazon SNS mengirimkan acara ke pelanggannya (melalui email, misalnya).

  7. Analis keamanan yang ditunjuk untuk menerima pemberitahuan email meninjau ember Amazon S3 yang dimaksud.

  8. Jika bucket disetujui untuk akses publik, analis keamanan akan menetapkan status alur kerja dari temuan terkait di Security Hub. SUPPRESSED Jika tidak, analis menetapkan statusnyaNOTIFIED. Ini menghilangkan notifikasi future untuk bucket Amazon S3 dan mengurangi noise notifikasi.

  9. Jika status alur kerja diaturNOTIFIED, analis keamanan meninjau temuan tersebut dengan pemilik bucket untuk menentukan apakah akses publik dibenarkan dan mematuhi persyaratan privasi dan perlindungan data. Investigasi menghasilkan penghapusan akses publik ke ember atau menyetujui akses publik. Dalam kasus terakhir, analis keamanan menetapkan status alur kerja keSUPPRESSED.

catatan

Diagram arsitektur berlaku untuk penerapan agregasi Wilayah dan Lintas wilayah tunggal. Di akun A, B, dan C dalam diagram, Security Hub dapat menjadi milik Wilayah yang sama dengan akun administrator atau milik Wilayah yang berbeda jika agregasi lintas wilayah diaktifkan.

Alat

  • Amazon EventBridge adalah layanan bus acara tanpa server yang membantu Anda menghubungkan aplikasi Anda dengan data waktu nyata dari berbagai sumber. EventBridge memberikan aliran data real-time dari aplikasi Anda sendiri, perangkat lunak sebagai layanan (SaaS) aplikasi, dan. Layanan AWS EventBridge merutekan data tersebut ke target seperti topik dan AWS Lambda fungsi Amazon SNS jika data cocok dengan aturan yang ditentukan pengguna.

  • Amazon Simple Notification Service (Amazon SNS) membantu Anda mengoordinasikan dan mengelola pertukaran pesan antara penayang dan klien, termasuk server web dan alamat email. Pelanggan menerima semua pesan yang dipublikasikan ke topik tempat mereka berlangganan, dan semua pelanggan ke suatu topik menerima pesan yang sama.

  • Amazon Simple Storage Service (Amazon S3) adalah layanan penyimpanan objek berbasis cloud yang membantu Anda menyimpan, melindungi, dan mengambil sejumlah data.

  • AWS Security Hubmemberikan pandangan komprehensif tentang keadaan keamanan Anda di AWS. Security Hub juga membantu Anda memeriksa AWS lingkungan Anda terhadap standar industri keamanan dan praktik terbaik. Security Hub mengumpulkan data keamanan dari seluruh layanan Akun AWS, dan produk mitra pihak ketiga yang didukung, dan kemudian membantu menganalisis tren keamanan dan mengidentifikasi masalah keamanan prioritas tertinggi.

Epik

TugasDeskripsiKeterampilan yang dibutuhkan

Aktifkan Security Hub di AWS Organizations akun.

Untuk mengaktifkan Security Hub di akun organisasi tempat Anda ingin memantau bucket Amazon S3, lihat panduan dari Menetapkan akun administrator (konsol) Security Hub dan Mengelola akun anggota yang dimiliki organisasi dalam dokumentasi Security Hub.

Administrator AWS

(Opsional) Aktifkan agregasi lintas wilayah.

Jika Anda ingin memantau bucket Amazon S3 di beberapa Wilayah dari satu Wilayah, siapkan agregasi Lintas wilayah.

Administrator AWS

Aktifkan kontrol S3.2 dan S3.3 untuk standar keamanan FSBP.

Anda harus mengaktifkan kontrol S3.2 dan S3.3 untuk standar keamanan FSBP.

  1. Untuk mengaktifkan kontrol S3.2, ikuti petunjuk dari bucket [S3.2] S3 yang harus melarang akses baca publik dalam dokumentasi Security Hub.

  2. Untuk mengaktifkan kontrol S3.3, ikuti instruksi dari [3] bucket S3 harus melarang akses tulis publik dalam dokumentasi Security Hub.

Administrator AWS
TugasDeskripsiKeterampilan yang dibutuhkan

Konfigurasikan topik Amazon SNS dan langganan email.

  1. Masuk ke AWS Management Console dan buka konsol Amazon SNS.

  2. Pada panel navigasi, silakan pilih Topik, lalu pilih Buat topik.

  3. Untuk Tipe, pilih Standar.

  4. Untuk Nama, masukkan nama untuk topik Anda (misalnya, public-s3-bucket).

  5. Pilih Buat topik.

  6. Pada tab Langganan untuk topik Anda, pilih Buat langganan.

  7. Untuk Protokol, pilih Email.

  8. Untuk Endpoint, masukkan alamat email yang akan menerima notifikasi. Anda dapat menggunakan alamat email AWS administrator, profesional TI, atau profesional Infosec.

  9. Pilih Buat langganan. Untuk membuat langganan email tambahan, ulangi langkah 6-8 sesuai kebutuhan.

Administrator AWS

Konfigurasikan EventBridge aturan.

  1. Buka konsol EventBridge .

  2. Di bagian Memulai, pilih EventBridge Aturan, lalu pilih Buat aturan.

  3. Pada halaman Tentukan detail aturan, untuk Nama, masukkan nama untuk aturan Anda (misalnya, public-s3-bucket). Pilih Berikutnya.

  4. Di bagian Pola acara, pilih Edit pola.

  5. Salin kode berikut, tempel ke editor kode pola acara, lalu pilih Berikutnya.

    {
  "source": ["aws.securityhub"],
  "detail-type": ["Security Hub Findings - Imported"],
  "detail": {
    "findings": {
      "Compliance": {
        "Status": ["FAILED"]
      },
      "RecordState": ["ACTIVE"],
      "Workflow": {
        "Status": ["NEW"]
      },
      "ProductFields": {
        "ControlId": ["S3.2", "S3.3"]
      }
    }
  }
}

  6. Pada halaman Pilih target, untuk Pilih target, pilih topik SNS sebagai target, lalu pilih topik yang Anda buat sebelumnya.

  7. Pilih Berikutnya, pilih Berikutnya lagi, lalu pilih Buat aturan.

Administrator AWS

Pemecahan Masalah

IsuSolusi

Saya memiliki bucket Amazon S3 dengan akses publik diaktifkan, tetapi saya tidak mendapatkan pemberitahuan email untuk itu.

Ini bisa jadi karena bucket dibuat di Wilayah lain dan agregasi Lintas wilayah tidak diaktifkan di akun administrator Security Hub. Untuk mengatasi masalah ini, aktifkan agregasi lintas wilayah atau terapkan solusi pola ini di Wilayah tempat bucket Amazon S3 Anda saat ini berada.

Sumber daya terkait

Informasi tambahan

Alur kerja untuk memantau ember Amazon S3 publik

Alur kerja berikut menggambarkan bagaimana Anda dapat memantau bucket Amazon S3 publik di organisasi Anda. Alur kerja mengasumsikan bahwa Anda menyelesaikan langkah-langkah dalam Konfigurasi topik Amazon SNS dan kisah langganan email dari pola ini.

  1. Anda menerima pemberitahuan email saat bucket Amazon S3 dikonfigurasi dengan akses publik.

    • Jika bucket disetujui untuk akses publik, setel status alur kerja dari temuan terkait ke SUPPRESSED akun administrator Security Hub. Hal ini mencegah Security Hub mengeluarkan notifikasi lebih lanjut untuk bucket ini dan dapat menghilangkan peringatan duplikat.

    • Jika bucket tidak disetujui untuk akses publik, setel status alur kerja dari temuan terkait di akun administrator Security Hub. NOTIFIED Hal ini mencegah Security Hub mengeluarkan notifikasi lebih lanjut untuk bucket ini dari Security Hub dan dapat menghilangkan noise.

  2. Jika bucket mungkin berisi data sensitif, matikan akses publik segera sampai peninjauan selesai. Jika Anda menonaktifkan akses publik, maka Security Hub mengubah status alur kerja menjadiRESOLVED. Kemudian, email notifikasi untuk bucket stop.

  3. Temukan pengguna yang mengonfigurasi bucket sebagai publik (misalnya, dengan menggunakan AWS CloudTrail) dan mulai peninjauan. Hasil tinjauan dalam menghapus akses publik ke bucket atau menyetujui akses publik. Jika akses publik disetujui, maka atur status alur kerja dari temuan yang sesuai keSUPPRESSED.